Er zijn de afgelopen jaren verschillende meldingen geweest van aanvallen op industriële controlesystemen (ICS), blijkt uit het Security Navigator 2023 rapport, gepubliceerd door Orange Cyberdefense. Als we wat beter kijken, lijkt het merendeel van de aanvallen afkomstig te zijn van traditionele IT-omgevingen. Dat is te verwachten, aangezien productiesystemen tegenwoordig vaak verbonden zijn met reguliere bedrijfsnetwerken.

Hoewel onze gegevens op dit moment niet aangeven dat veel dreigingsactoren specifiek gericht zijn op industriële systemen, kan het tij op elk moment keren zodra de toegevoegde complexiteit van het compromitteren van OT-omgevingen rendabel lijkt te worden. Criminelen zullen elke kans pakken om slachtoffers te chanteren, en het stilleggen van de productie kan enorme schade veroorzaken. Het is waarschijnlijk slechts een kwestie van tijd. Daarom is cybersecurity voor operationele technologie (OT) van groot belang.

Misleiding is een effectieve manier om de detectie van bedreigingen en responsmogelijkheden te verbeteren. ICS-beveiliging verschilt echter op verschillende vlakken van traditionele IT-beveiliging. Hoewel misleidingstechnologieën voor defensief gebruik, zoals honeypots, is verbeterd, zijn er nog steeds uitdagingen vanwege fundamentele verschillen zoals de gebruikte protocollen. Dit artikel beoogt de voortgang en uitdagingen te beschrijven wanneer misleidingstechnologie de overgang maakt van traditionele IT naar ICS-beveiliging.

De waarde van misleiding: het initiatief terugnemen

Misleidingstechnologie is een actieve beveiligingsmethode die kwaadaardige activiteiten effectief detecteert. Aan de ene kant construeert deze strategie een omgeving van valse informatie en simulaties om het oordeel van een tegenstander te misleiden, waardoor nietsvermoedende aanvallers in een val trappen en hun tijd en energie verspillen. Dit vergroot de complexiteit en onzekerheid van de inbraak.

Tegelijkertijd kunnen de verdedigers uitgebreidere aanvallogs verzamelen, tegenmaatregelen implementeren, de bron van de aanvallers traceren en hun aanvalsgedrag monitoren. Het registreren van alles om de tactieken, technieken en procedures (TTP) die een aanvaller gebruikt te onderzoeken, is van groot belang voor de security analisten. Misleidingstechnieken kunnen de verdedigers het initiatief teruggeven.

Met behulp van bepaalde misleiding applicaties, zoals honeypots, kan de operationele omgeving en configuratie worden gesimuleerd, waardoor de aanvaller wordt verleid om het neppe doelwit binnen te dringen. Op deze manier kunnen verdedigers de payloads die de aanvallers achterlaten vastleggen en informatie verkrijgen over de hosts van de aanvaller of zelfs de webbrowser via JavaScript in web applicaties. Bovendien is het mogelijk om de sociale media-accounts van de aanvaller te achterhalen via JSONP Hijacking en de aanvaller te counteren door middel van ‘honey files’. Naar verwachting zal misleidingstechnologie in de komende jaren volwassener worden en breder worden ingezet.

Onlangs is de integratie van informatietechnologie en de industriële productie in een versneld tempo verlopen, dankzij de snelle ontwikkeling van het industriële internet en intelligent manufacturing. De verbinding van uitgebreide industriële netwerken en apparatuur met IT-technologie zal onvermijdelijk leiden tot toenemende veiligheidsrisico’s in dit domein.

Productie in gevaar

Frequente beveiligingsincidenten zoals ransomware, datalekken en geavanceerde aanhoudende dreigingen hebben ernstige gevolgen voor de productie- en bedrijfsactiviteiten van industriële ondernemingen en ze bedreigen de veiligheid van de digitale samenleving. Over het algemeen zijn deze systemen vatbaar voor zwaktes en gemakkelijk te exploiteren door aanvallers vanwege hun eenvoudige architectuur, die gebruikmaakt van beperkte verwerkingskracht en geheugen. Het is een uitdaging om ICS te beschermen tegen kwaadaardige activiteiten, omdat de componenten van ICS meestal geen updates of patches kunnen ontvangen vanwege hun eenvoudige architectuur. Het is meestal ook niet mogelijk om endpoint-protection software te installeren. Gezien deze uitdagingen kan misleiding een essentieel onderdeel zijn van de beveiligingsaanpak.

• Conpot is een open-source, low-interactive honeypot die verschillende industriële protocollen ondersteunt, waaronder IEC 60870-5-104, Building Automation and Control Network (BACnet), Modbus, s7comm en andere protocollen zoals HTTP, SNMP en TFTP. Het is ontworpen om gemakkelijk te implementeren, aan te passen en uit te breiden. De Conpot en op Conpot gebaseerde honeypots behoren tot de meest populaire ICS-misleidingstoepassingen die door onderzoekers worden gebruikt.
• XPOT is een op software gebaseerde high-interactive PLC-honeypot die programma’s kan uitvoeren. Het simuleert Siemens S7-300 serie PLC’s en stelt de aanvaller in staat om PLC-programma’s te compileren, interpreteren en laden op XPOT. XPOT ondersteunt de S7comm- en SNMP-protocollen en is de eerste high-interactive PLC-honeypot. Omdat het softwarematig is, is het zeer schaalbaar en maakt het grote decoy- of sensor-netwerken mogelijk. XPOT kan worden verbonden met een gesimuleerd industrieel proces om de honeypot omgeving voor de aanvaller nog realistischer te doen lijken.
• CryPLH is een high-interactive en virtuele Smart-Grid ICS-honeypot die Siemens Simatic S7-300 PLC simuleert. Het draait op een op Linux gebaseerde host en maakt gebruik van MiniWeb HTTP-servers om HTTP(S) te simuleren, een Python-script om het Step 7 ISO-TSAP-protocol te simuleren en een aangepaste SNMP-implementatie. De interactiemogelijkheid van CryPLH neemt geleidelijk toe van de simulatie van ICS-protocollen naar ICS-omgevingen.

Met de ontwikkeling van cyberbeveiligingstechnologieën wordt misleiding toegepast in verschillende contexten, zoals het web, databases, mobiele apps en IoT. Misleidingstechnologie is geïntegreerd in verschillende ICS-honeypot-toepassingen binnen het OT-veld. Zo kunnen ICS-honeypots zoals Conpot, XPOT en CryPLH protocollen zoals Modbus, S7, IEC-104, DNP3 en andere simuleren.

Als gevolg hiervan kan misleidingstechnologie, zoals de bovengenoemde honeypot-toepassingen, de beperkte efficiëntie van detectiesystemen voor onbekende bedreigingen compenseren en een belangrijke rol spelen in het waarborgen van de veiligheid van industriële besturingsnetwerken. Deze toepassingen helpen bij het detecteren van cyberaanvallen op industriële besturingssystemen en bieden inzicht in de algemene risicotrend. De daadwerkelijke OT-kwetsbaarheden die door aanvallers worden misbruikt, kunnen worden geïdentificeerd en aan de security analist worden doorgegeven, wat leidt tot tijdige patches en inlichtingen. Bovendien kan er snel een waarschuwing worden gegeven, bijvoorbeeld voordat er ransomware uitbreekt, om zo grote verliezen en productiestops te voorkomen.

Uitdagingen

Dit is echter geen allesomvattende oplossing. In vergelijking met de geavanceerde misleidingstechnieken die beschikbaar zijn in de traditionele IT-beveiliging, heeft misleiding in ICS nog steeds enkele uitdagingen. Allereerst zijn er talloze soorten industriële besturingsapparaten en -protocollen, waarvan veel gepatenteerd zijn. Het is vrijwel onmogelijk om een misleidingstechnologie te hebben die kan worden toegepast op alle industriële besturingsapparaten. Daarom moeten honeypots en andere toepassingen vaak worden aangepast voor de emulatie van verschillende protocollen, wat een relatief hoge drempel met zich meebrengt voor implementatie in sommige omgevingen.

Het tweede probleem is dat pure virtuele industriële besturingshoneypots nog steeds beperkte simulatiemogelijkheden hebben, waardoor ze gevoelig zijn voor identificatie door hackers. De huidige ontwikkeling en toepassing van puur virtuele ICS-honeypots staat alleen de onderliggende simulatie van industriële besturingsprotocollen toe, en de meeste daarvan zijn open source en eenvoudig te vinden via zoekmachines zoals Shodan of Zoomeye. Het verzamelen van voldoende aanvalsgegevens en het verbeteren van de simulatiemogelijkheden van ICS-honeypots blijft een uitdaging voor beveiligingsonderzoekers.

Last but not least, high-interaction industriële besturingshoneypots verbruiken aanzienlijke resources en hebben hoge onderhoudskosten. Honeypots vereisen vaak de introductie van fysieke systemen of apparatuur om een ​​realistische simulatieomgeving te creëren. Industriële besturingssystemen en apparatuur zijn echter kostbaar, moeilijk herbruikbaar en lastig te onderhouden. Zelfs ogenschijnlijk vergelijkbare ICS-apparaten verschillen vaak aanzienlijk qua functionaliteit, protocollen en instructies.

Is het de moeite waard?

Op basis van de bovenstaande discussie moet misleidingstechnologie voor ICS worden overwogen voor integratie met nieuwe technologieën. De mogelijkheid om een gesimuleerde omgeving te creëren en daarop te reageren versterkt de verdedigingstechnologie. Bovendien heeft het vastleggen van aanvalsgegevens door de misleidingstoepassing grote waarde. Wanneer deze gegevens worden geanalyseerd met behulp van AI- of Big Data-tools, helpt het om een diepgaand inzicht te krijgen in de intelligentie op het gebied van ICS.

Samengevat speelt misleidingstechnologie een essentiële rol in de snelle ontwikkeling van de beveiliging van ICS-netwerken en verbetert het de intelligentie en verdedigingsmogelijkheden. Echter staat de technologie nog steeds voor uitdagingen en heeft een doorbraak nodig.

Als je geïnteresseerd bent in meer inzicht in wat de onderzoekers van Orange Cyberdefense dit jaar hebben onderzocht, kun je een kijkje nemen op de pagina van hun onlangs gepubliceerde Security Navigator.